追踪用户点击进行Email钓鱼

2013-04-03 146212人围观 ,发现 3 个不明物体 WEB安全

当进行电子邮件网络钓鱼时委聘我的客户常常会问,是什么用户点击了钓鱼电子邮件。当然有许多的方法可以来完成这个任务,但我主要讨论我所使用的方法来跟踪每一个来过我仿冒网站的游客。

这里将使用ruby脚本,调用sendmail.rb

这不是什么NB的脚本,只是提供了另一种方式来发送钓鱼邮件,这将有助于跟踪每一个访问过您的钓鱼网站的用户

在一般情况下如果你钓鱼就要使用一些邮件客户端,例如:Thunderbird、Outlook等,你可以知道该网站的点击数,但你不能跟踪它。比如:

“我们发送邮件给50个用户,我们得到了35次点击”。但我想知道35点击中,有多少用户访问了钓鱼网站?结果只有2个不同的用户点击了网站15+次?这个题通过sendmail.rb可以解决。

所以我们要把电子邮件地址添加到钓鱼的URL里。由于添加电子邮件地址是以明文显示,很容易起疑。所以用base64编码来写电子邮件地址,然后我们将其添加到网络钓鱼的URL里。

例如,如果我们的网络钓鱼URL位于:

http://example.com/index.php

Sendmail会如下修改网络钓鱼URL:

http://example.com/index.php?id=bWNjYW5uLmJyYW5kb25AZ21haWwuY29t

一旦用户点击了 络钓鱼URL(base64编码的电子邮件地址)HTTP GET请求将显示在Web服务器的日志。

另外写了一个Ruby脚本,其中调用decode_logs.rb来协助快速有效地获得Apache日志信息下面是一个例子我如何使用脚本来分析日志


一开始打算从sendmail.rb发送Email,但编辑原始HTML来制作我的网络钓鱼模板,这很费时间,而且我不是一个优秀的网页设计师。

后来在网上了解到可以使用Thunderbird来保存或“另存为”一个电子邮件,保存的电子邮件格式为.EML但它本质上是的原始的HTML)sendmail.rb可以完美搭配

我赶紧看了下收件箱发现了大量LinkedIn发出来的垃圾邮件,利用LinkedIn的邮件来让我们创建一个简单的网络钓鱼电子邮件使用此模板


通过Thunderbird来精心设计了一个网络钓鱼Email我们需要做的就是将文件保存在本地,所以我们可以将其格式化为HTML,我们的脚本就可以使用它了


现在,我们已经有了HTML,但光有HTML是不够的,现在我们需要增加我们的Email header()消息。通过SMTP来发送email。

红色框列出了所有的内容,我已添加了消息头并发送sendmail.rb ,下面的红框部分是从Thunderbird所有生成HTML的保存文件

在最后一次编辑我删除了包含:“To:” 的一行. 这解决了列表中创建电子邮件,会注明时间和日期是谁发送的(顶部)这一问题。


现在,我们已经创建我们网络钓鱼电子邮件,可以将其发送给自己,看看它的外观

现在我们需要替换真正钓鱼链接这样,当用户点击我们的电子邮件他们进入的是我们的恶意网站而不是LinkedIn另外注意这是不一样电子邮件地址你可以看到此电子邮件标题别人如上),而不是LinkedIn

添加钓鱼URL是很容易因为sendmail可以帮助我们用文本编辑器打开该文件并更改任何的href= linkedin.com到href =#{URL}我们可以使用一些工具如sed,来简化这一过程

via[pentestgeek]

Loading...
css.php